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PROCEDE ET DISPOSITIF DE LA VERIFICATION DE LA DETENTION D'UNE DONNEE CONFIDENTIELLE 
SANS COMMUNICATION DE CELLE-CI, SELON UN PROCESSUS DIT DE "A DIVULGATION NULLE". 

L'invention permet de proc£der a une verification, par 
un v£rificateur (A, 2), de la detention d'au moins une donn£e 
confidentielle (P (X); (X)... P t (X)) par un d6tenteur presu- 
me (B, 4), sans communication parce dernier de la donn£e 
confidentielle, conformement a un processus dit de " a divul- 
gation nulle ". 

A cette fin, il est pr£vu d'utiliser pour la donn£e confiden- 
tielle au moins un premier polynome (P (X)), le d£tenteur 
pr£sum£ (B, 4) transmettant au v£rificateur (A, 2) des don- 
n£es (x, y) calcul£es en utilisantce polynome, la verification 
£tant etablie sur la base d'une analyse de ces donnees met- 
tant en oeuvre au moins un deuxieme polynome (Q (X)) et 
d'un polyn6me compose Q (P (X)). 
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Proc6d6 et dispositif de la verification de la 
detention d'une donnee conf identielle sans 
communication de celle-ci, selon un processus dit de "a 

divulgation nulla". 

L' invention concerne la securisation eiectronique 
par code secret, par exemple pour des protocoles 
d 1 identification. Dans ce cadre, le code secret est 
typiquement attribue h une entity, designee ci-apres 

5 n detent eur " , en tant que cie d'acc^s k une prestation 
d'un fournisseur. Cette cie est soumise k une 
verification par un syst^me de securisation lie au 
fournisseur, qui conditionne l'acc^s k la prestation. 
Le processus de demande d' autorisation s'effectue par 

10 ^change eiectronique entre le detenteur presume et le 
fournisseur. 

La figure 1 illustre tr&s sch^matiquement le cas 
general d'un ensemble compost d'une part d'un systeme 
de verification (v^rif icateur) 2 et d' autre part d'un 

15 detenteur presume 4. Le systeme 2 et le detenteur 
presume communiquent sur une liaison 6 qui peut §tre 
locale ou distante (par reseau) , filaire, 
radioeiectrique, infrarouge, etc. Dans 1' exemple, le 
detenteur presume 4 se trouve etre materialise par une 

20 carte & puce, le systfeme de verification 2 etant un 
terminal avec lecteur de carte, Le code secret 
(designe par le terme "secret" dans ce qui suit) est 
alors contenu au sein d'une memoire de la carte 2. La 
verification de la validite du secret necessite un 

25 echange de messages sur la liaison 6 selon un protocole 
preetabli. La verification peut conditionner I'acces k 
un service (teiephonique, de reception de television a 
peage, de transaction bancaire ou commerciale) , ou k 
contrdler l'acces a un site, la transmission d'un 

30 dossier medical, 1 ' identification d'une personne, etc. 
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Dans une mise en ceuvre classique, le protocole 
pr£voit la transmission du secret vers le terminal, 
6ventuellement sous forme crypt£e pour 6viter des 
attaques durant 1 ' ^change . 

5 Cependant, il existe aussi des protocoles dits de 

n k divulgation nulle" (de l'anglais "z6ro knowledge" ) , 
bas£s sur le fait qu'il est math&natiquement possible k 
un detenteur presume de prouver qu'il poss£de 
ef fectivement un secret valable sans pour autant le 

10 communiquer au systeme de verification. II s'agit de 
protocoles de preuve de detection de secret sans 
divulgation ou de protocoles a divulgation nulle. Les 
protocoles Fiat-Shamir, Guillou-Quisquatter, "syndrome 
decoding", "permuted kernels problem", "constrained 

15 linear equations", etc. sont des exemples de tels 
protocoles de k divulgation nulle. Le principe repose 
sur un ^change de questions et de r^ponses, provenant 
respectivement du syst&me de s^curisation 2 et du 
detenteur presume 4. Le protocole d' identification est 

20 de nature asymetrique, en ce sens qu'il fait appel k 
des cles privies et publiques, la cl6 priv£e 
constituant le secret detenu au niveau du detenteur 
pr£sum6. Puisque le secret n'est jamais r£v616 durant 
le protocole, il n'y a pas de risque qu'il soit 

25 approprie par un detenteur presume mal intentionn£, ou 
une personne interceptant les messages 6chang6s en vue 
de pouvoir se presenter comme le detenteur agr£6 du 
secret. 

Si ces protocoles permettent line selection de 
30 param6trage, leur conception demeure relativement 
fig£e. Ceci est notamment le cas avec le protocole de 
Fiat et Shamir. 

Ainsi, un objet de 1' invention est de pr£voir une 
s£curisation par verification bas6e sur un nouveau 
35 protocole de a divulgation nulle, permettant de 
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nombreuses possibility de mise en oeuvre selon les 
applications envisages. 

Plus particulierement, 1' invention propose, selon 
un premier objet, un procede de verification, par un 
5 v6rif icateur, de la detention d'au moins une donn^e 
confidentielle P(X); Pi(X)„. P t (X) par un detenteur 
presume, sans communication par ce dernier de la donn^e 
confidentielle, conf orm^ment k un processus dit de "a 
divulgation nulle" , 

10 caract6ris£ en ce que l'on utilise pour la donn£e 

confidentielle au moins un premier polyn6me P(X), le 
detenteur presume transmettant au v^rificateur des 
donn^es calcuiees en utilisant ce polyndme, la 
verification etant etablie sur la base d'une analyse de 

15 ces donn^es mettant en oeuvre au moins un deuxieme 
polyn6me Q(X) et d'un polyndme compose S(X) = Q(P(X)), 
celui-ci etant compost du premier polynfime P(X) et du 
deuxieme polyn6me Q(X). 

Avantageusement, k partir : 

20 - du premier polynome, soit P(X) d'une 

variable X, et 

- du deuxieme polynome, soit Q(X) de la 
variable X, 

on definit un troisieme polyndme compost S(X) = 
25 Q(P(X)), 

et on met en ceuvre au moins une sequence 
comprenant les etapes de : 

a) transmission, du detenteur presume au 
v^rif icateur, d'une premiere donn^e (x) obtenue a 

30 partir du troisieme polyndme S(X) pour le cas de la 
variable X = r, soit Q(P(r)), ou r est un nombre choisi 
arbitrairement par le detenteur presume ; 

b) transmission en r^ponse, du v^rificateur au 
detenteur presume, d'une valeur d' invitation de preuve 

35 (b) , 
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c) transmission, du detenteur presume au 
v6rif icateur, d'une deuxi&ne donn^e (y) calcuiee selon 
y = r si la valeur d' invitation de preuve b correspond 
& une premiere valeur et selon y = P(r)si la valeur 

5 d ! invitation de preuve correspond h une seconde valeur, 
et 

d) verification, par le v6rif icateur, que la 
condition S(y) = x est satisfaite si la valeur 
d* invitation de preuve correspond & la premiere valeur, 

10 et que la condition Q(y) = x est satisfaite si la 
valeur d' invitation de preuve correspond k la seconde 
valeur, une verification positive a l'€tape d) 
accroissant le degr£ de confiance en la detention 
effective de la donn^e secrete P(X) par le detenteur 

15 presume, 

Le proc6d6 peut §tre mis en oeuvre pour une 
verification portant sur une plurality t de donn£es 
conf identielles independantes , chacune d6finie par un 
premier polyn6me respectif , ou, a partir : 
20 - des premiers polyn6mes respectif s, soit Pi(X), 

P 2 (X), P 3 (X),..., P t (X) d'une variable X, et 

- du deuxieme polynSme, soit Q(X) de la variable 

X, 

on d^finit un troisieme ensemble de fonctions 
25 Si(X) pour i = 0 a t, soit : S 0 = Q(X), Si(X) = 
Q(Pi(X)), S 2 (X) = Q(Pi(P 2 (X))), S 3 (X) = Q(Pi(P 2 (P 3 (X)))), 
...S t (X) = Q(Pi(P 2 (P 3 UPt(X))))), 

et on met en oeuvre au moins une sequence 
comprenant les Stapes de : 
30 i) transmission, du detenteur presume au 

v6rif icateur, d'une premiere donnee (x) obtenue & 
partir de la fonction S t (X) pour le cas de la variable 
X = r, soit x = Q(Pi (P 2 (P 3 (...P t (r) ) ) ) ) , ou r est une 
valeur aieatoire gen6ree au niveau du detenteur 
35 presume ; 



2830147 



- ii) transmission, du v6rificateur au detenteur, 
presume d'une designation arbitraire ou pas d'une ou 
plusieurs fonction(s) parmi un ensemble de fonctions Ei 
de variable X, soit : 

5 fonction E 0 : PI (P2 (P3 U(Pt (X) )♦..)) , 

f onction E x : P2 (P3 UPt (X) ...) ) , 
f onction E 2 : P3 (...Pt (X) ...) 

fonction E t : X ; 

10 - iiiy transmission, du detenteur presume au 

v^rificateur, d'une deuxi&me donnee (yi) calculde selon 
la fonction designee Ei k l'etape pr^c^dente pour le 
cas de la variable X = r ou d'un nombre correspondant 
de valeurs yi, chacune etant obtenue k partir d'une 

15 fonction designee respective ; et 

- iv) verification, par le v^rif icateur , que la 
condition Si(yi) = x est satisfaite pour chacune des 
valeurs correspondantes . 

De preference, on repete la sequence d'etapes i) 
20 k iv) au moins une fois, une fonction Ei etant designee 
arbitrairement a chaque repetition de sequence. 

Avantageusement , tous les polynomes (P(X), Q(X), 
S(X); Si(X), Ei(X)) sont definis modulo n, ou n est un 
nombre compose dif f icilement f actorisable. 
25 La donnee conf identielle peut §tre constituee 

d'un polyn6me P(X) d'ordre 2 (deux) ou super ieur. 

Le deuxi^me polynome (Q(X)) peut §tre un polyn6me 
d'ordre 2 (deux) ou superieur. 

Selon un deuxieme aspect, 1' invention concerne un 
30 dispositif de verification specif iquement adapte pour 
realiser le procede selon le premier objet. 

Selon un troisieme aspect, 1 1 invention concerne 
un dispositif detenteur d'au moins une donnee 
conf identielle specif iquement adapte pour realiser le 
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proc6d6 selon. le premier aspect, ce dispositif pouvant 
etre une carte k puce. 

L' invention et les avantages qui en d^coulent 
seront mieux compris par la description qui suit des 
5 modes de realisation pr6f£r6s, donnas purement k titre 
d'exemple non-limitatif , par reference aux dessins en 
annexe, dans lesquels : 

- la figure 1, d£ja decrite, est un schema 
general simplifie d'un ensemble constitue d'un syst^me 

10 de s^curisation et d'un detenteur presume, avec ^change 
de donn^es de verification de secret ; 

- la figure 2 est un organigramme du d&roulement 
d'un proc^de de verification entre un terminal et une 
carte selon un protocole de k divulgation nulle 

15 conforme a un premier mode de realisation de 
1 ' invention ; et 

- la figure 3 est un organigramme du deroulement 
d'un procede de verification entre un terminal et une 
carte selon un protocole de a divulgation nulle 

20 conforme ct un second mode de realisation de 
1' invention. 

La securite du protocole de verification k 
divulgation nulle selon 1' invention repose sur le 
probleme suivant. Soient deux polyn6mes P(X) et Q(X), 

25 on peut facilement calculer le polyn6me compose S(X) = 
Q(P(X)). Mais, etant donn6s Q(X) et S(X), il est 
difficile trouver P(X. Dans ce qui suit, tous les 
calculs sont realises en arithmetique modulo n, oil n 
est un nombre compose. A titre d'exemple, le nombre n 

30 peut §tre le produit de deux nombres premiers p et q, 
soit n=p.q. Le secret, dont la connaissance est k 
prouver par le detenteur, est le polynome P(X). 

Dans ce qui suit, on designe par A le detenteur 
du secret P(X) (detenteur presume), et par B le 

35 verificateur du fait que A connaisse ef f ectivement le 



i 



2830147 



secret P(X) . "A" peut §tre une carte a puce 4 ou 
analogue, et "B w le syst&me de s£curisation 2, pour 
reprendre 1* exemple de la figure 1. Ainsi, 
conform6ment au protocole n k divulgation nulle", A doit 
5 prouver h B qu'il d^tient le secret P(X) sans le lui 
r£v61er. 

La figure 2 illustre un exemple du d^roulement 
d'un protocole de verification "h divulgation nulle" 
conforme & 1" invention, appliqu£ k l f ensemble de la 
10 figure 1. 

Au pr^alable, le d^tenteur presume A du secret 
P(X) , soit la carte 4, contient dans sa m&noire les 
param&tres suivants : 

- un polyn6me P(X), qui constitue un param&tre 
15 priv£, soit le secret. On note que le parametre priv£ 

qui constitue le secret est le polyn6me P(X) qui est le 
polyn6me difficile k trouver selon le probl&ne £nonc£ 
ci-dessus, 

- une fonction polynomiale S(X) d^finie par : 
20 S(X) = Q{P(X)), et 

- un module n dif f icilement f actorisable, par 
exemple de type RSA. 

La fonction S(X) s'obtient directement par calcul 
a partir des polynomes P(X) et Q(X) , A titre 
25 illustratif, donne ici seulement pour comprendre ce 
mode de calcul, si Q{X) = aX 2 + bX + c et P(X) = UiX + 
u 0 , alors : 

S(X)= a(uiX + u 0 ) 2 + b(uiX + u 0 ) + c 

= a(ui 2 X 2 + u 0 2 + 2uiu 0 X) + uibX + u 0 b + c 
30 = aui 2 X 2 + (2auiu 0 + u a b)X + au 0 2 + u 0 b + c 

;= S 2 X 2 + SiX + s 0 
Les coefficients des polyn6mes a, b, c, ul et uO, 
ainsi que S2, Si et So sont des valeurs connues par la 
carte • Cependant, pour r^duire le nombre d' arguments a 
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stocker, la carte peut ne pas contenir les param&tres 
relatifs a Q(X), c'est-A-dire a, b et c. 

Q(X) et P(X) sont des polyndmes en X de degre p 
et q. lis sont r^duits modulo n, c 1 est-&-dire que 
5 leurs coefficients sont r^duits modulo n. A titre 
. d'exemple, 

pour P(X) =2 i= o h p aiX 1 = a 0 + a x X + a 2 X 2 + a 3 X 3 + 
...+ apX p , 

P(X) mod n = (2 i=0 a p aiX 1 ) mod n 

10 = 2 i=0 a p (ai mod n)x\ 

De son cdte, le systeme B de verification 
(v6rif icateur) de la connaissance du secret, soit le 
terminal 2, contient dans sa m£moire les m§mes 
parametres que ceux stockes par la carte, hormis le 

15 secret P(X) , a savoir : Q(X) , S(X) = Q(P(X)) et n. 

En debut de protocole, il s'op^re un ^change de 
signaux entre le terminal 2 et la carte 4 pour etablir 
1 1 initialisation du processus (etape E2). Durant cette 
phase, une s6rie de routines est installee pour fixer 

20 les conditions de verification. 

Le processus de verification n h divulgation 
nulle" debute alors par le tirage d'un nombre aieatoire 
r au niveau de la carte 4 (etape E4) . Ce nombre r est 
produit par des algorithmes quelconques. A partir de 

25 ce nombre r, la carte calcule une valeur x donnee par 
la fonction S{X) mod n, pour X = r, soit x: = Q(P(r)) 
mod n. La carte envoie cette valeur de x au terminal 2 
(etape E8), ou elle y est receptionnee (etape E10) ♦■ 

Ensuite, le terminal produit un bit b dit 

30 d' interrogation ou d' invitation de preuve (etape E12) . 
Dans l'exemple, les probabilites de b = 1 et b = 0 sont 
egales. Ce bit b est transmis a la carte (etape E14) , 
ou elle constitue la partie "question" selon 1' aspect 
question-reponse du protocole h divulgation nulle. 
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La carte r^ceptionne le bit b (etape E16) et 
produit en r^ponse une valeur y en fonction de la 
valeur de ce bit, comme suit (etape E18) : 

- si b = 0, y = r ; 

5 - si b = 1, y = P(r), c'est-&-dire la valeur 

rendue par le polyndme secret P(X) pour X = r. 

Ensuite, la carte 4 envoie la valeur y au 
terminal 2 (<§tape E20), ou elle est y r6ceptionn6e 
(etape E22) . La valeur de b conditionne la nature de 
10 la verification effectu^e par le terminal 2, comme suit 
(etape E24) : 

- si b = 0, le terminal v&rifie que S(y) = 
Q(P(y)) = x ; 

- si b = 1, le terminal v^rifie que Q(y) = x. Les 
15 etapes pr^c^dantes impliqu^es dans les trois series 

d'echanges, en commengant par l 1 etape E4 de generation 
d'un nombre aieatoire, doivent §tre it6r6es plusieurs 
fois afin de garantir un degre de confiance suffisant, 
chaque nouvelle iteration permettant de se rapprocher 

20 du niveau de confiance souhaite. 

En revanche, il suffit qu'une seule instance de 
la verification a 1* etape E24 soit non satisfaite pour 
permettre de constater que la carte 2 ne detient pas le 
secret P(XK Dans le cas d'un tel constat, le terminal 

25 initie une routine d' interruption de la procedure de 
verification pour cause d'echec, et declenche une 
alerte adaptee aux circonstances (etape E26) . 

Lorsque la condition k verifier satisfaite k 
1' etape E24, la procedure entame une iteration du 

30 processus a partir de 1 " etape E4 afin de pouvoir 
renforcer le degre de confiance. 

Le protocole de verification conforme a 
1' invention est tres stir, permettant d'obtenir des 
degres de confiance C arbitrairement proches de 1. En 

35 effet, h supposer que les polyndmes P(X) et Q(X) soient 
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bien choisis, pour S(X) = Q(P(X)) donne modulo n, le 
probleme de retrouver P(X) a partir de S(X) et de Q(X) 
est suppose difficile. 

II rTexiste pas de regies g£n£rales de selection 
5 des polyn6mes P(X) et Q(X) . On choisira de mani&re 
empirique des polyn6mes qui soient suf f isamment 
complexes pour ne pas permettre de deduire ais^ment la' 
valeur du secret. Avantageusement, au moins l'un de 
ces polyn6mes doit §tre de degre 2 ou sup£rieur. 

10 L' utilisation du modulus n pour exprimer x 

implique que tous les coefficients des polyn6mes 
doivent §tre reduits par ce modulus, ce qui renforce la 
difficulty du probl&me de trouver P(X) k partir de 
Q(P(X) ) et de S(X) . 

15 A titre indicatif, d'excellents r^sultats sont 

obtenus en termes de securite et de consommation de 
ressources avec le choix suivant de polyn6mes : 

P(X) = u 2 X 2 + UiX + u 0 , et Q(X) = aX 2 + bX + c 
S(X) = c 4 X 4 + C 3 X 3 + c 2 X 2 + ciX + co, ou les coefficients 

20 a, b, c et c 4/ c 3 , c 2 , Ci et c 0 sont connus. 

Le probleme de trouver P(X) a partir de Q(X) et 
de S(X) est alors Equivalent a determiner une racine 
carr^e en modulo n. 

II sera maintenant d6crit une generalisation du 

25 mode de realisation selon laquelle on utilise uh nombre 
arbitraire t de cies privEes. Cette disposition permet 
notamment de reduire le nombre d'echanges entre le 
fournisseur (terminal 2) et le detenteur presume (carte 
4), notamment en s 1 af f ranchissant des iterations 

30 precitees, ou tout au moins en reduisant leur nombre. 
L'approche consiste k utiliser dans le processus de 
verification plusieurs cies publiques et un nombre 
correspondant de cies privees, stockees respectivement 
au niveau du terminal 2 et de la carte 4 . Cette 

35 approche s'inscrit dans un cadre general de mise en 
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oeuvre, avec utilisation (Tun nombre t de cl£s priv£s 
Pi (X) , P 2 (X) , P 3 (X) , P t (X) associ<§es a t cl6s 

publiques respectives, celles-ci 6tant : 

Si(X) = Q(Pi(X)), 
5 S 2 (X) = Q(Pi(P 2 (X)))) / 

S 3 (X) = Q(Pi(P 2 (P 3 (X)))) 

S t (X) = Q(Pi(P 2 (P 3 (...Pt(X))))) . 

Dans ce qui suit, tous les polyndmes sont r^duits 
10 modulo n, comme dans le cas precedent ; ce fait ne sera 
pas r6p£t£ syst&natiquement par souci de concision. 

Lors d'une verification, le terminal 2 et la 
carte 4 entament un processus d'6change de donn^es 
pr61iminaires pour 1 1 initialisation du protocole (6tape 
15 E2), k l'instar du mode de realisation de la figure 2. 

Ensuite, la carte 4 produit un nombre al^atoire r 
(£tape E4), calcule a partir de ce nombre une valeur x 
.= Q(Pi(P 2 (P3(.-.(P t (r) )))...) (etape E30), et la transmet au 
terminal 2 (etape E32) . 
20 En r^ponse, le terminal produit un nombre 

al£atoire b dans un domaine d' equiprobabilit6 Oat 
compris (<§tape E34) et le transmet a la carte 4 (£tape 
E36). 

En fonction du nombre b, la carte calcule la 
25 valeur y it selectionn^e selon la valeur de b, (£tape 
E38). 

Plus particuli^rement, la valeur yi est 
determin^e comme suit : 

0, yo = Pi(P 2 (P3(...(P t (r)...) ) ) , 

1, Yi = P 2 <P 3 U(Pt(r)...) ) , 

2, Y2 = PsUIPtlr)-.), 

t, y = r. 



si b = 
30 si b = 

si b = 

si b = 
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On remargue que les r^ponses y A de la carte en 
fonction de la valeur de b envoye par le terminal sont 
basees sur les cl£s publiques 

Si(X), S 2 (X), S 3 (X), S4(X), St(X) 

La valeur yi requise ainsi calcuiee est transmise 
au terminal (etape E40) . 

A la reception de cette valeur yi, le terminal 
procede k une verification en fonction de la valeur de 
b (etape E42) : 

si b = 0, verification de la condition Q(y 0 ) = x 

si b = 1, verification de la condition Si(yi) = x 

si b = 2, verification de la condition S 2 (y2) = x 

si b = t, verification de la condition S t (yt) = x 

Si la condition a verifier & 1' etape E42 est 
satisfaite, on peut supposer (etape E44) avec un 
certain degre de confiance que le detenteur presume a 
prouve qu ! il detient le secret. Dans le cas contraire, 
on suppose que la preuve demandee n'a pas ete fournie 
pour des raisons suspectes, et la communication avec la 
carte 4 est interrompue, eventuellement accompagne 
d'une procedure d'alerte. 

Si le nombre t de cies utilisees dans la 
procedure ne permet pas d'obtenir un degre de confiance 
suffisant, il est bien entendu envisageable de realiser 
une ou plusieurs iterations a partir de 1' etape E4. 

Selon une variante du mode de realisation de la 
figure 3, le terminal 2 transmet a 1* etape E36 non pas 
une, mais plusieurs valeurs de b, chacune choisie de 
maniere aieatoire. 

La carte 4 calcule alors & l'etape E38 une valeur 
yi en fonction de chacune des valeurs de b regues, sur 
les m§mes bases que pour le calcul de yi decrit par 
reference h la figure 3, et les transmet au terminal. 
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Le terminal analyse chacune des valeurs yi ainsi 
regues pour determiner si elles satisfont les 
conditions 6nonc6es supra dans le cadre de l'£tape-E42. 

On comprendra que cette variante permet & la 
carte de detenir plusieurs secrets. Le terminal peut 
alors verifier la connaissance de ces secrets en une 
seule s£rie d 1 operations, par exemple, lors d'une 
verification simultan^e de plusieurs mots de passe ou 
de codes d* authentif ication. 

L' invention n'est pas limitee aux cartes ou k des 
dispositifs portatifs, trouvant application dans tout 
systeme de communication faisant appel a une 
identification confidentiel : verification de mot passe 
entre un utilisateur et son ordinateur, son vehicule, 
materiel professional, telephone mobile, ou autre 
equipement personnalise, etc. 
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REVINDICATIONS 

1. Proc6d6 de verification, par un v^rificateur 
(8,2), de la detention d'au moins une donn^e 
confidentielle (P(X); Pi(X)„. P t (X)) par un d^tenteur 
presume (A,4)), sans communication par ce dernier de la 

5 donn^e confidentielle, conform&nent k un processus dit 
de n h divulgation nulle", 

caracterise en ce que l'on utilise pour la donn6e 
confidentielle au moins un premier polyn6me (P(X)), le 
detenteur presume (A, 4) ) transmettant au v^rificateur 

10 (B,2) des donn^es (x, y; yi) calcuiees en utilisant ce 
polyn6me, la verification etant etablie sur la base 
d'une analyse de ces donn^es mettant en oeuvre au moins 
un deuxieme polyn6me Q(X) et d'un polyn6me compost S(X) 
= Q(P(X)), celui-ci etant compost du premier polyn6me 

15 P(X) et du deuxieme polyndme Q(X) . 

2. Procede selon la revendication 1, caracterise 
en ce que, a partir : 

- dudit premier polyndme, soit P(X) d'une 
20 variable X, et 

- dudit deuxieme polynome, soit Q(X) de la 
variable X, 

on definit un troisi^me polyndme compose S(X) = 
Q(P(X)), 

25 et en ce qu'il met en oeuvre au moins une sequence 

comprenant les Stapes de : 

a) transmission, du detenteur presume (A, 4) au 

v^rificateur (B,2), d'une premiere donn^e (x) obtenue k 

partir dudit troisi&ne polyn6me S(X) pour le cas de la 
30 variable X = r, soit Q(P(r)>, ou r est un nombre choisi 

arbitrairement par le detenteur presume ; 
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b) transmission en response, du v£rificateur (B,2) 
au d£tenteur presume, d'une valeur d' invitation de 
preuve (b) , 

c) transmission, du detenteur presume au 
5 v£rif icateur, d'une deuxi&me donn£e (y) calcul£e selon 

y = r si la valeur d' invitation de preuve b correspond 
k une premiere valeur et selon y = P(r)si la valeur 
d 1 invitation de preuve correspond & une seconde valeur, 
et 

10 d) verification, par le v£rif icateur , que la 

condition S{y) = x est satisfaite si la valeur 
d' invitation de preuve correspond h la premiere valeur, 
et que la condition Q(y) = x est satisfaite si la 
valeur d' invitation de preuve correspond & la seconde 

15 valeur, une verification positive a 1 'etape d) 
accroissant le degr£ de confiance en la detention 
effective de la donn^e secrete P(X) par le detenteur 
presume (A, 4) • 

20 3. Proc6d6 selon la revendication 1, caract6ris<§ 

en ce qu'il est mis en ceuvre pour une verification 
portant sur une plurality t de donn^es conf identielles 
ind^pendantes , chacune d£finie par un premier polyn6me 
respectif , caract^rise en ce que, a partir : 

25 - desdits premiers polyndmes respectif s, soit 

Pi(X), P 2 (X), P 3 (X),.„, P t (X) d' une variable X, et 

- dudit deuxi&me polyn6me, soit Q(X) de la 
variable X, 

on d£finit un troisieme ensemble de fonctions 
30 Si(X) pour i = 0 a t, soit : S 0 = Q(X) , Si(X) = 
Q(Pi(X)), S 2 (X) = Q(Pi(P 2 (X))), S 3 (X) = Q(Pi(P 2 (P 3 (X)))), 
~S t (X) = Q(Pi(Pa(P3UPt(X))))), 

et ce que l'on met en oeuvre au moins une sequence 
comprenant les etapes de : 
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- i) transmission, du detenteur pr£sum£ (A, 4) au 
v&rificateur (B,2), d'une premiere donn6e (x) obtenue k 
partir de la fonction S t (X) pour le cas de la variable 
X = r, soit x = Q(Pi(P 2 (P3(.«Pt(r) ) ) ) ) , ou r est une 

5 valeur al^atoire gen6r6e au niveau du detenteur presume 
<B,4).; 

- ii) transmission, du v^rificateur au d6tenteur, 
presume d'une designation arbitraire ou pas d'une ou 
plusieurs fonction (s) parmi un ensemble de fonctions Ei 

10 de variable X, soit : 

fonction E 0 : PI (P2 (P3 U (Pt (X) )...)) , 
fonction Ei : P2 (P3 UPt (X) ...) ) , 
fonction E 2 : P3 (...Pt (X) ...) 

15 fonction E t : X ; 

- iii) transmission, du detenteur presume au 
verif icateur, d'une deuxieme donn^e (yi) calcul^e selon 
la fonction designee Ei a l'etape pr^c^dante pour le 
cas de la variable X = r ou d'un nombre correspondant 

20 de valeurs yi, chacune £tant obtenue k partir d'une 
fonction designee respective ; et 

- iv) verification, par le v^rif icateur, que la 
condition Si(yi)= x est satisfaite pour chacune 
desdites valeurs correspondantes . 

25 

4. Proc£d£ selon la revendication 3, caracteris6 
en ce que ladite sequence d' Stapes i) k iv) est r£p6t£e 
au moins une fois, une fonction Ei 6tant designee 
arbitrairement a chaque repetition de sequence. 

30 

5 . Proced£ selon 1 'une quelconque des 
revendications 1 a 4, caract£ris6 en ce que tous les 
polynomes (P(X), Q(X), S(X);'S±<X), Ei(X)) sont d£finis 



17 

2830147 



modulo n, ou n est un nombre compost dif f icilement 
factorisable. 

6. Proc6d6 selon l'une quelconque des 
5 revendications 1 & 5, caract6ris6 en ce que la donn§e 

confidentielle est constitute d'un polyn6me P(X) 
d'ordre 2 (deux) ou suptrieur. 

7. Proc6d6 selon l'une quelconque des 
10 revendications 1 £ 6, caracterise en ce que ledit 

deuxi6me polynome (Q(X)) et un polyndme d'ordre 2 
(deux) ou suptrieur. 

8. Dispositif de verification (B,2) permettant 
15 de verifier la detention d' au moins une donnee 

confidentielle (P(X), P X (X), . .., P t (X) par un 
d6tenteur presume (A, 4) , sans communication par ce 
dernier de la donnee confidentielle, conform6ment £ un 
processus dit de « divulgation nulle » 
20 caracterise en ce qu'il est pr6vu pour r6aliser 

le proc6de de verification selon l'une quelconque des 
revendications 1 a 7, le dispositif (B,2) comportant : 

- des moyens de reception desdites donnees (x, y f 
y±) calculees par le d6tenteur presume (A, 4 ) , 

25 - des moyens de stockage dudit polynome compose 

S(X) = Q(P(X)), et 

- des moyens d' analyse desdites donn6es regues 
mettant en oeuvre ledit polynome compose 
(S(X) = Q(P(X)) . 

30 

9. Dispositif (A, 4) d6tenteur d'au moins une 
donnee confidentielle sujette a une verification par un 
verificateur (3,2) sans qu'elle soit communiquee a ce 
dernier, conformement £ un processus dit de 

35 « divulgation nulle », 
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caracteris6 en ce qu'il est pr6vu pour r6aliser 
le proced§ de verification selon l'une quelconque des 
revendications 1 a 7, le dispositif (A, 4) comportant : 

- des moyens de stockage dudit premier polyndme 
P(X), et 

- des moyens de calcul mettant en oeuvre ledit 
premier polynome pour produire lesdites donn6es 
calcul6es (x, y, y±) , et 

- des moyens de transmission desdites donn6es 
calcul6es au v6rificateur (B,2). 

10. Dispositif selon la revendication 9, 

caract6rise en ce qu'il s'agit d'une carte & puce (4). 
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Terminal 2 



Systdme de 
sgcurisation 
(v6rifie secret) 




Carte 4 



Echange donn§es 
verification secret 



Demandeur 
(possede secret) 
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